#news В Гугле замечена занятная реклама Гимпа. В ней юзер видит ссылку на актуальный сайт редактора (
Интереснее всего, как злоумышленники всунули в рекламу легитимный адрес сайта. Были предположения, что это атака на омографах IDN, но это маловероятно. Гугл позволяет отображать в объявлении URL, отличающийся от того, по которому юзер окажется на деле. Но они оба должны быть на одном домене. Результат ли это бага в Google Ad Manager, не ясно. Пока можно только сказать: «Спасибо, Гугл, очень круто». И поставить адблокер.
@tomhunter
gіmp.org), но вместо него попадает на подставной с доменным именем gilimp.org. На котором получает раздутый до 700 метров инфостилер VIDAR. Неделю назад писал об активной тайпсквот-кампании по его распространению.Интереснее всего, как злоумышленники всунули в рекламу легитимный адрес сайта. Были предположения, что это атака на омографах IDN, но это маловероятно. Гугл позволяет отображать в объявлении URL, отличающийся от того, по которому юзер окажется на деле. Но они оба должны быть на одном домене. Результат ли это бага в Google Ad Manager, не ясно. Пока можно только сказать: «Спасибо, Гугл, очень круто». И поставить адблокер.
@tomhunter
😁15🤬3🔥2🤔2
#news На просторах сети всплыл продвинутый клиппер-как-услуга для криптоадресов. Вместо простой подмены кошелька он генерирует похожий на тот, что у жертвы. Судя по тестам, одинаковые в них первые и последние несколько символов. Как новинка это делает, неясно. Возможно, заранее сгенерированный огромный массив адресов.
Помимо этого, в клиппере веб-панель со статистикой, уведомлениями и стянутыми кошельками. Биткоин, эфир, монеро – пара десятков криптовалют. Распространяют чудо-клиппер через Raccoon Stealer 2.0 и Smoke Loader, так что паршивец пошёл в народ. Вот так только приучишься проверять криптоадреса на предмет подмены, а тут такое. Хоть наизусть их теперь зубри.
@tomhunter
Помимо этого, в клиппере веб-панель со статистикой, уведомлениями и стянутыми кошельками. Биткоин, эфир, монеро – пара десятков криптовалют. Распространяют чудо-клиппер через Raccoon Stealer 2.0 и Smoke Loader, так что паршивец пошёл в народ. Вот так только приучишься проверять криптоадреса на предмет подмены, а тут такое. Хоть наизусть их теперь зубри.
@tomhunter
🔥13🤯5❤1🎉1
#news Если кто помнит, был такой финский паренёк Юлиус Кивимяки, он же Ryan и Zeekill. В 2015-м его обвинили в более чем 50 тысячах киберпреступлений, но 17-летний шельмец отделался двумя годами условно. И как выяснилось, он же под ником ransom_man шантажировал онлайн-сервис психотерапии Vastaamo, который обанкротился после встряхнувшей Финляндию шумихи.
Тогда компания отказалась платить полмиллиона евро выкупа за украденную базу, и взломщик начал публиковать записи пациентов и шантажировать их, требуя 200 баксов в битках. Как наш герой попался? По ошибке залил всю базу на форуме в Торе. А вместе с ней и свой домашний каталог, включая папку ssh. Увы, даже 50,700 совершённых киберпреступлений не уберегли нашего финского социопата от детских опсек-ошибок. К слову, как он взломал Vastaamo? А у них всё годами хранилось в MySQL-базе без пароля. Так два гения инфобеза нашли друг друга.
@tomhunter
Тогда компания отказалась платить полмиллиона евро выкупа за украденную базу, и взломщик начал публиковать записи пациентов и шантажировать их, требуя 200 баксов в битках. Как наш герой попался? По ошибке залил всю базу на форуме в Торе. А вместе с ней и свой домашний каталог, включая папку ssh. Увы, даже 50,700 совершённых киберпреступлений не уберегли нашего финского социопата от детских опсек-ошибок. К слову, как он взломал Vastaamo? А у них всё годами хранилось в MySQL-базе без пароля. Так два гения инфобеза нашли друг друга.
@tomhunter
😁30🔥2
#news Занятные новости из Великобритании: правительство начало сканировать все хостящиеся в стране устройства на предмет уязвимостей. Заявленной целью программы является оценить, насколько системы защищены от атак, и уведомить владельцев о прорехах в безопасности. Сканеры настроены на самые распространённые и критические уязвимости, собирают HTTP-ответы, включая заголовки, и в целом всю информацию по подключению к сервисам и веб-серверам.
Любая ненароком собранная ими личная инфа якобы будет удалена, а компании могут прислать список айпишников на исключение из скана. «Мы не ищем уязвимости в стране со злонамеренными целями» – доверительно сообщает правительство. Ну, откуда ещё могла прийти такая новость, как не из Британии. Скоро во всех организациях страны: «Эй, приятель, у тебя есть лицензия на эту уязвимость?»
@tomhunter
Любая ненароком собранная ими личная инфа якобы будет удалена, а компании могут прислать список айпишников на исключение из скана. «Мы не ищем уязвимости в стране со злонамеренными целями» – доверительно сообщает правительство. Ну, откуда ещё могла прийти такая новость, как не из Британии. Скоро во всех организациях страны: «Эй, приятель, у тебя есть лицензия на эту уязвимость?»
@tomhunter
🔥11😁8🤔1
Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской сцены, включая ключевого разработчика Racoon Stealer, чудесным образом всплывшего в Нидерландах после новостей весной о его преждевременной гибели. За подробностями добро пожаловать под кат!
🔥7❤2
#news Исследователи обнаружили, что через
Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
@tomhunter
urlscan.io утекает куча чувствительной информации. Страницы для сброса пароля, API-ключи, инвойсы, расшаренные доки, инвайты, ссылки для отслеживания посылок – полный набор.Согласно отчёту, к утечке приводят неправильно настроенные инструменты безопасности, с интегрированным по API urlscan’ом. При неверной настройке они сдают все ссылки в имейлах на публичное сканирование, и инфа утекает через криво отлаженные SOAR-решения. Неспроста Apple запросила удаление ссылок со своих доменов из результатов поиска — они удаляются каждые минут десять. Между тем
urlscan.io может стать и вектором атаки, скажем, если злоумышленник перехватит ссылки для сброса пароля. А также раздольем для спамеров и фишеров. Вот и посканировали.@tomhunter
🔥12🤯2❤1💩1
#news На заре криптовалютной эпохи в 2012-м с небезызвестной дарквеб-площадки Silk Road украли 50,000 биткоинов. Злоумышленник воспользовался багом в процедуре возврата средств, стянул крипту 140 транзакциями, и дальше её след затерялся на 10 лет. Ну а теперь загадка разрешилась: вора нашли, и он пошёл под суд в штатах. Ему грозит до 20 лет тюрьмы.
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
И пока пионера криптокраж Джеймса Чжуна искали, украденные им полмиллиона долларов в битках, как водится, успели немножко подрасти. Ровно год назад наш герой застал рейд в своём доме, где у него и изъяли носители c примерно 50,000 битками, сотни тысяч налички и прочее по мелочи. На момент ареста изъятые активы стоили $3,3 миллиардов. Так закончилась история одного из первых криптомиллиардеров от мира киберпреступности, 10 лет назад устроившего дерзкий налёт на контрабандистов цифрового Шёлкового Пути.
@tomhunter
🔥10🤔3💩1
#news Что получается у злоумышленников, которые просто хотят видеть мир в огне? Рансомварь Азов. Точнее, вайпер: зловред забивает каждые вторые 666 байт файлов мусором и заражает экзешники, а контактов автора в записке нет. Вместо них невнятная солянка по мотивам текущей новостной повестки. Более того, в качестве авторов указаны известные безопасники и журналисты с Bleeping Computer – видимо, для создания инфоповода.
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
Для распространения создатель выкупил установки у SmokeLoader-ботнета, и малварь активно расползается по сети. Чего добивается стоящее за вайпером дарование, неясно. Поставлю на то, что просто развлекается на досуге. Потому как в предыдущем сэмпле зловреда записка ещё более нелепая. Да и в целом он выглядит, как продукт жизнедеятельности юного социопата.
@tomhunter
🤔15🔥3💩2🤡1
#news Малоизвестный факт, но в России есть свой аналог Тик Тока – соцсеть YAPPY. И в новости он сегодня залетает взломом: в открытом доступе база с четырьмя таблицами. ФИО юзеров, почты, телефоны, хешированные пароли, сведения об устройствах и прочие техдетали. Больше двух с половиной миллионов пользователей, 2,2 миллиона уникальных телефонов. Инфа актуальна на 1 июля этого года.
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
По доброй традиции наших компаний представители сервиса утечку отчасти опровергают: и дампы неактуальные, и пользовательские данные обезличенные, ну а телефоны ваши и так любой собаке известны, чего переживать. Благодарны ли в компании взломщикам за рекламу их набирающего обороты приложения, не сообщается.
@tomhunter
🤡17😁10❤3
Про Google доркинг написано и сказано немало. С помощью расширенных операторов поиска можно найти абсолютно все что Google проиндексировал. А проиндексировал он очень и очень много…И в данной статье мы решили углубиться в тему доркинга и рассмотреть вопрос его практического применения при проверке контрагентов. Вот так можно применять Google Dorking не только в стезе этичного хакинга) Приятного чтения!
🔥14
#news В сети замечен новый ботнет Cloud9 в виде расширения под Хромиум. Функционал у него солидный: криптомайнер, DDoS-атаки на седьмой уровень, кража куки, клиппер и кейлоггер, вставки рекламы, эксплойты под несколько браузеров. Судя по C2-доменам, новый ботнет на продажу – детище специализирующейся на них группировки Keksec, авторов EnemyBot и ещё полдюжины аналогичных проектов.
Зловред распространяется не через официальный магазин Хрома, а на сторонних сайтах под видом обновления Adobe Flash Player. Заражения отмечены по всему миру, так что метод рабочий. Логика юзеров понятна: «О, апдейт флеш-плеера, сто лет их не было!» Как уж тут удержаться и не кликнуть.
@tomhunter
Зловред распространяется не через официальный магазин Хрома, а на сторонних сайтах под видом обновления Adobe Flash Player. Заражения отмечены по всему миру, так что метод рабочий. Логика юзеров понятна: «О, апдейт флеш-плеера, сто лет их не было!» Как уж тут удержаться и не кликнуть.
@tomhunter
🔥13😁4
#news В Канаде в конце октября арестовали одного из предполагаемых операторов LockBit, нынешнего чемпиона рансомварного мира. Задержанный оказался зловреду под стать: он был в списках целей особой важности Европола ввиду участия в резонансных рансомварь-делах. Национальность угадаете? Михаил Васильев, 33-летний гражданин России.
Насколько он важная персона в LockBit, до конца не ясно; кроме того, их представитель постил на форумах ещё вчера. Сейчас наш соотечественник ожидает экстрадиции в Штаты, а на его устройствах нашли переписку в Tox’e с товарищем LockBItSupp, исходники малвари, инструкции к ней и прочий компромат. Изъяты 32 жёстких, два огнестрела и 400 тысяч евро в криптовалюте. Хардрайвы, крипта, два ствола по версии LockBit.
@tomhunter
Насколько он важная персона в LockBit, до конца не ясно; кроме того, их представитель постил на форумах ещё вчера. Сейчас наш соотечественник ожидает экстрадиции в Штаты, а на его устройствах нашли переписку в Tox’e с товарищем LockBItSupp, исходники малвари, инструкции к ней и прочий компромат. Изъяты 32 жёстких, два огнестрела и 400 тысяч евро в криптовалюте. Хардрайвы, крипта, два ствола по версии LockBit.
@tomhunter
🔥14🤔3🤡3😁1
#news Новая малварь от группировки Worok замечена в сетевых прериях. И прячут её злоумышленники в PNG-файлах с помощью стеганографии. Небольшие куски вредоносного кода записываются в наименьшие значащие биты пикселей изображения. Позже их доставляют и собирают на машине жертвы с помощью dll-ок CLRLoader и PNGLoader, соответственно.
В качестве нагрузки в них идёт неясный PowerShell-скрипт и кастомный инфостилер на C# c Дропбоксом в качестве C2-сервера. Малварь эксклюзивная, и целями группировки являются госструктуры Ближнего Востока, Северной Америки и Юго-Восточной Азии. Так что, по всей видимости, скрытно работают китайские шпионы.
@tomhunter
В качестве нагрузки в них идёт неясный PowerShell-скрипт и кастомный инфостилер на C# c Дропбоксом в качестве C2-сервера. Малварь эксклюзивная, и целями группировки являются госструктуры Ближнего Востока, Северной Америки и Юго-Восточной Азии. Так что, по всей видимости, скрытно работают китайские шпионы.
@tomhunter
🔥15🤯2
#news Если кто следит за самой зрелищной и нелепой катастрофой в современной финансовой истории – крахом криптобиржи FTX – в её эпопее появилась и вишенка инфобеза. Стоило им подать на банкротство, биржу самым загадочным образом взломали. Больше $600 миллионов ушли по неизвестным адресам, кража отдаёт инсайдерской работой. Плюс в приложениях якобы апдейт в виде инфостилера, админы призывают срочно их удалить и не заходить на сайт во избежание троянов.
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
🔥17😁2🎉2💩1
#news Один безопасник случайно обнаружил способ обойти экран блокировки смартфонов на Андроид. В версиях с 10 по 13 при блокировке сим-карты после неправильного ввода PIN и её разблокировки с помощью PUK-кода телефоны пропускают блокировку и сразу выдают главный экран. То есть злоумышленник может просто вставить свою симку и за пару минут разблокировать телефон. Видео здесь.
Баг вызван конфликтом в функции dismiss, приводящему к пропуску экранов блокировки после ввода PUK-кода. Висел он в BB-программе Гугла с июня и правится ноябрьским патчем; история о том, как обнаруживший его ИБшник в Гугл ходил – отдельная эпопея. Так что гордым обладателям Андроида, а также чересчур любопытных супругов, воришек в подземке и прочих незваных любителей залезть в телефон, определённо стоит накатить обновление, пока баг не пошёл в народ.
@tomhunter
Баг вызван конфликтом в функции dismiss, приводящему к пропуску экранов блокировки после ввода PUK-кода. Висел он в BB-программе Гугла с июня и правится ноябрьским патчем; история о том, как обнаруживший его ИБшник в Гугл ходил – отдельная эпопея. Так что гордым обладателям Андроида, а также чересчур любопытных супругов, воришек в подземке и прочих незваных любителей залезть в телефон, определённо стоит накатить обновление, пока баг не пошёл в народ.
@tomhunter
🔥13😁2👍1
#news У пользователей Kerberos появились проблемы с входом в системы и аутентификацией в целом. А виной тому внезапно ноябрьские патчи от Майкрософт. Опять. С полей пишут, апдейт также начисто ломает Kerberos при включении настроек AES 128/256 bit encryption в юзерских аккаунтах.
Проблемы возникают во всех сценариях аутентификации и для клиентских, и для серверных платформ с ошибками Event ID 14 и 42. Из Редмонда сообщают, что введённый ими с ноября обязательный харденинг для Kerberos таких конфузов по плану не подразумевал. Над проблемой они активно работают, и решение будет доступно, гм, в ближайшие недели. Сидеть без свежих патчей или поставить их только для того, чтобы возиться с брыкающимися системами и откатываться обратно на RC4? Иллюзия выбора от Майкрософт.
@tomhunter
Проблемы возникают во всех сценариях аутентификации и для клиентских, и для серверных платформ с ошибками Event ID 14 и 42. Из Редмонда сообщают, что введённый ими с ноября обязательный харденинг для Kerberos таких конфузов по плану не подразумевал. Над проблемой они активно работают, и решение будет доступно, гм, в ближайшие недели. Сидеть без свежих патчей или поставить их только для того, чтобы возиться с брыкающимися системами и откатываться обратно на RC4? Иллюзия выбора от Майкрософт.
@tomhunter
🔥7😁4
#news Хорошая новость для любителей тех редких случаев, когда Большому Корпоративному Брату ещё напоминают значение слова «приватность». Гугл согласился выплатить $391 миллионов, чтобы закрыть дело по слежке за пользователями Андроида. Тяжбы тянулись по следам расследования 2018-го, когда выяснилось, что геолокацию юзеров собирали, даже если те выключили её в настройках.
Решение суда также обязывает компанию внести ясность в настройки и оповещения касаемо сбора пользовательской инфы и ограничивает её право на использование и хранение некоторых геоданных. Юзеры должны иметь возможность отключать геослежение, указывать срок хранения своих данных и запрашивать их удаление. Мелочь на пути в мир тотальный слежки по версии гугловской машины различий, а приятно.
@tomhunter
Решение суда также обязывает компанию внести ясность в настройки и оповещения касаемо сбора пользовательской инфы и ограничивает её право на использование и хранение некоторых геоданных. Юзеры должны иметь возможность отключать геослежение, указывать срок хранения своих данных и запрашивать их удаление. Мелочь на пути в мир тотальный слежки по версии гугловской машины различий, а приятно.
@tomhunter
🎉14❤3
#news Осень принесла поимку ещё одной крупной рыбы украинского киберпреступного мира. В Женеве арестован Вячеслав «Танк» Пенчуков, он же DJ Slava Rich из Донецка. А по совместительству глава JabberZeus – пионеров MITB-атак, с помощью банковского трояна Zeus укравших десятки миллионов долларов в Штатах и Европе. Забавная опсек-ошибка Пенчукова: в 2009-м в прослушиваемом чате он упомянул рождение дочери. В тот день в стране родилась одна девочка с таким именем и весом. Так у преступника появилось лицо.
У Кребса занятный материал по теме. Почти 15 лет работы по группировке и годы, когда утро начиналось с прозвона компаний, по чьи деньги в банк спешили дропперы. Криво поднятые сайты для их найма и скраппер по сообщениям – так Кребс годами нарушал планы злоумышленников. Для знакомых с реалиями СНГ чтиво ещё забористее. Янукович-младший в качестве крёстного дочери Пенчукова, его связи с сбушниками, инвестиции в бутики в Киеве… Донецкий пижон Слава Рич жил на широкую ногу. Увы, сказочке настал конец.
@tomhunter
У Кребса занятный материал по теме. Почти 15 лет работы по группировке и годы, когда утро начиналось с прозвона компаний, по чьи деньги в банк спешили дропперы. Криво поднятые сайты для их найма и скраппер по сообщениям – так Кребс годами нарушал планы злоумышленников. Для знакомых с реалиями СНГ чтиво ещё забористее. Янукович-младший в качестве крёстного дочери Пенчукова, его связи с сбушниками, инвестиции в бутики в Киеве… Донецкий пижон Слава Рич жил на широкую ногу. Увы, сказочке настал конец.
@tomhunter
🔥16🤔3🤯3
#news Новая фича от DuckDuckGo по блокировке трекеров в приложениях под Андроид aka аналог Blokada вошла в открытую бету. Помимо базового функционала, теперь юзер также может видеть, какие трекеры заблокированы и что за данные они собирают. Блокировки обещают фоновые и без особого влияния на производительность по регулярно обновляемому списку известных трекеров; браузер фильтрует их, выступая в качестве локального VPN.
В отличие от аналогичного яблочного решения согласия от разработчиков приложений на блокирование не требуется. В DuckDuckGo заверяют, что фича творит свою магию прямо на смартфонах и никаких данных ни им, ни на сторону не отсылает. Чувство гордости и достижения от вида циферок с тысячами заблокированных попыток слежки прилагается.
@tomhunter
В отличие от аналогичного яблочного решения согласия от разработчиков приложений на блокирование не требуется. В DuckDuckGo заверяют, что фича творит свою магию прямо на смартфонах и никаких данных ни им, ни на сторону не отсылает. Чувство гордости и достижения от вида циферок с тысячами заблокированных попыток слежки прилагается.
@tomhunter
🔥11😁4🤔1
#news В начале ноября ФБР отжали домены Z-Library, одной из крупнейших интернет-библиотек, существовавшей с 2009-го и входившей в топ-10к самых посещаемых сайтов. А сегодня в США двум её владельцам предъявили обвинения в краже интеллектуальной собственности и нарушении так называемого копирайта.
Антон Напольский и Валерия Ермакова, граждане России, были арестованы 3 ноября в Аргентине по запросу из Штатов. Сообщают, по Напольскому есть куча доказательств от Гугла и Амазона, что именно он владел сайтом и продвигал его через Google Ads. 249 доменов библиотеки в руках у ФБР, но Tor-версия сайта всё ещё на плаву. Впрочем, вряд ли надолго. 220 терабайт интеллектуальной собственности с репозитория Z-Library теперь могут спать спокойно. В отличие от наших попавшихся соотечественников.
@tomhunter
Антон Напольский и Валерия Ермакова, граждане России, были арестованы 3 ноября в Аргентине по запросу из Штатов. Сообщают, по Напольскому есть куча доказательств от Гугла и Амазона, что именно он владел сайтом и продвигал его через Google Ads. 249 доменов библиотеки в руках у ФБР, но Tor-версия сайта всё ещё на плаву. Впрочем, вряд ли надолго. 220 терабайт интеллектуальной собственности с репозитория Z-Library теперь могут спать спокойно. В отличие от наших попавшихся соотечественников.
@tomhunter
😢25🔥2😁1
#news Группировка Hive демонстрирует неприлично продуктивные результаты: с июня 2021-го они получили около $100 миллионов выкупа и атаковали больше 1,300 компаний по всему миру. С начала этого года на ID Ransomware 850 репортов с образцами их малвари, и это лишь часть атак. Список целей Hive широк, в основном критическая инфраструктура с акцентом на здравоохранении. Вдобавок ко всему, злоумышленники повторно заражают сети компаний, восстановивших работу без выплаты выкупа: им либо снова засылают зловред группировки, либо другую рансомварь.
Что примечательно, пик атак в этом году пришёлся на весну. В то время группировка активно сотрудничала с Conti с начальным доступом и пен-тестом от её членов, плюс у последних начались проблемы после сливов от крота в их рядах. Скорее всего, всплеск активности перед уходом Conti в тень был неспроста.
@tomhunter
Что примечательно, пик атак в этом году пришёлся на весну. В то время группировка активно сотрудничала с Conti с начальным доступом и пен-тестом от её членов, плюс у последних начались проблемы после сливов от крота в их рядах. Скорее всего, всплеск активности перед уходом Conti в тень был неспроста.
@tomhunter
🔥8🤔2